普华永道-全面风险管理讲解1

全面风险管理 模型 2007年8月 第2页 COSO《企业风险管理整合框架》的背景 • COSO内部控制框架的制定是针对上世纪八十年代的虚假财务报 告和披露事件，当时普华永道参与了该框架的编制。自该框架 在1992年发布以来，COSO一直致力于企业风险和管理相关领域 的研究，包括金融衍生工具和财务舞弊等。 • COSO《企业风险管理整合框架》的研究始于2001年。该框架的 征求意见稿于2003年7月15日发布，通过一个为期90天的公开咨 询期，于2004年9月29日发布。 • 普华永道再一次被邀请参与《企业风险管理整合框架》的研发 工作。 • 整个报告分三个部分：内容摘要、框架、应用技术 企业风险管理整合框架 第3页 什么是风险？ 企业风险管理整合框架 危险 坏的事情发生的风险 结果的不确定性 不能满足预期 机会 丧失机会 第4页 企业风险管理的定义： “企业风险管理是一个过程：它由公司董事会、管理层以及其他员 工执行，适用于公司战略的制定和整个公司范围，用来识别可能 对公司产生影响的潜在事项，并将风险控制在企业可以承受的水 平以内，为公司目标的实现提供合理的保证。” COSO企业风险管理——整合框架，2004 这个定义反映了几个基本概念。企业风险管理是： • 一个过程，它持续地流动于主体之内； • 由组织中各个层级的人员实施； • 应用于战略制订； • 贯穿于企业，在各个层级和单元应用，还包括：企业层面的风险组合观； • 旨在识别一旦发生将会影响主体的潜在事项，并把风险控制在风险容量以内； • 能够向一个主体的管理当局和董事会提供合理保证； • 力求实现一个或多个不同类型但相互交叉的目标。 企业风险管理整合框架 第5页 企业风险管理的定义： 企业风险管理整合框架 当管理当局通过制订战略和目标，力求实现增长和报酬目标以及相关的风险之 间的最优平衡，并且在追求所在主体的目标的过程中高效率和有效地调配资源 时，价值得以最大化。企业风险管理包括： • 使风险偏好和战略保持一致 —— 在评估企业战略替代 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 、制定相关目标以及建立 管理相关风险机制的过程中管理层应考虑企业的风险偏好。 • 增强风险应对决策 —— 企业风险管理提供了严密的方法去识别和选择可替代的风险 对策，如规避风险、减少风险、分担风险及接受风险。 • 减少经营中的意外和损失 —— 企业识别潜在事件并确立应对方法的能力得到增强， 由此减少出现意外以及相关的成本或损失。 • 识别和管理企业总体层面的多重风险 —— 每个企业都面对着无数个影响其组织内各 个方面的风险；全面风险管理有助于企业有效应对相互关联的影响并整合应对多重风 险。 • 抓住机遇 —— 通过对潜在事件的全面考虑，管理层就可以识别并积极地实现各种机 遇。 • 改进利用资本的效率 —— 获得风险信息可以使管理层有效地评估总的资本需求并增 强资本分配能力。 第6页 如何整合？ 目标可分为4类 什么？ 8个相互 联系的构 成要素 在哪？ 考虑到企业 所有层面的行为 4类目标，8个构成要素 COSO企业风险管理框架 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第7页 COSO风险管理框架要素一：内部环境 • 树立风险管理的理念：这种理念 认为无论是预期的还是非预期的 事件都有可能发生 • 建立企业的风险文化 • 考虑企业的活动可能对其风险 文化产生影响的所有方面 企业风险管理整合框架 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第8页 COSO风险管理框架要素一：内部环境 企业风险管理整合框架 内部环境包括的要素： • 风险管理理念 • 风险偏好 • 董事会 • 诚信和道德价值观 • 胜任能力 • 组织结构 • 权限和职责分配 • 人力资源 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第9页 COSO风险管理框架要素一：内部环境 企业风险管理整合框架 风险偏好在内部环境中扮演者重要角色： • 风险偏好反映出企业风险管理的理念，影 响企业文化和经营风格； • 在制定企业战略时要对风险偏好加以考 虑，战略应与企业风险偏好相一致。 • 风险偏好是按照企业的利益相关方的好恶 调整的，应该由管理层来确定。 • 通过了解一个企业的企业风险概况、了解 哪些领域企业愿意承担风险，哪些领域企 业不愿意承担风险等方法都可以帮助理解 一个企业管理层的风险偏好。 形成风险偏好 影响 高 中 低 可能性 低 中 高 超出风险偏好 风险偏好内 形成风险偏好 影响 高 中 低 可能性 低 中 高 超出风险偏好 风险偏好内 第10页 COSO风险管理框架要素二：目标设定 目标制定是事件识别、风险评估和风险反应的前提。企业必须首 先制定目标，在此之后，管理层才能识别和评估影响目标实现 的风险并且采取必要的行动对这些风险进行管理 • 战略目标 • 经营目标 • 报告目标 • 合规目标 企业风险管理整合框架 第11页 COSO风险管理框架要素二：目标设定 企业风险管理整合框架 制定战略和相关目标要考虑： •风险偏好 •风险容忍度 - 风险容忍度是指在实现企业特定目标过程中对差异的可接受 程度 - 风险容忍度应该是明确的、切实可行的、可以衡量的 - 风险容忍度应该整个企业的层面适当分配，以便于管理和监 控 - 风险容忍度应该要企业内部外部的人都明确知道 第12页 COSO风险管理框架要素三：事件识别 • 区分风险和机遇 - 可能产生负面影响的事件为风险 - 可能产生正面影响的事件为机遇 ，这些机遇使管理层重新考虑战 略的制定 • 包括识别发生在内部或外部的 可能影响战略和目标实现的事件 • 考虑内部和外部因素如何相互 关联，共同影响风险水平 • 识别的方法 企业风险管理整合框架 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 危险 坏的事情发生的风险 结果的不确定性 不能满足预期 机会 丧失机会 第13页 COSO风险管理框架要素三：事件识别 企业风险管理整合框架 基础设施因素 资产可用性 资产能力 资本获取能力 复杂性 员工因素 员工能力 舞弊活动 健康与安全 流程因素 生产能力 设计 执行 供应商/相互依存性 经济因素 资本可供性 信贷发行，信贷违约 集中投资 清偿债务 金融市场 失业 竞争 兼并/收购 自然环境因素 排放物和废物 能源自然灾害 可持续性发展 政治因素 政府更迭 立法 公共政策 监管 内部因素外部因素 事件分类 社会因素 人口统计数字 消费者行为 公司身份 隐私 恐怖主义 工艺性因素 生产中断 电子商务 外部数据 新发展的工艺 技术因素 数据完整性 数据和系统的可 用性 系统选择 技术开发 技术采用 维护 第14页 COSO风险管理框架要素四：风险评估 • 理解潜在的事件对企业目标有多 大程度的影响，并从两个方面对 风险进行评估： - 发生的可能性 - 影响程度 • 明确用来评估风险以及用来衡量 相关的目标 - 结合定性和定量两方面 来评估风险 - 将时间和目标联系起来 - 从固有风险和剩余风险的角 度来评估风险 企业风险管理整合框架 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第15页 COSO风险管理框架要素四：风险评估 影响 高（2~3） • 如果风险发生，对业务部门或和公司的财务影响是巨大的； • 如果风险发生，对公司或业务部门的持续性或其战略和经营目标 的影响是重大的； • 如果风险发生，将产生重大的政治或社会方面的影响。 中（1~2） • 如果风险发生，对业务部门或公司的财务影响是重大的； • 如果风险发生，对公司或业务部门持续性或其战略和经营目标的 影响是中度的； • 如果风险发生，将产生中度的政治或社会方面的影响。 低（0~1） • 如果风险发生，对业务部门或公司的财务影响是较小的； • 如果风险发生，对公司或业务部门持续性或其战略和经营目标的 影响是较小的； • 如果风险发生，将产生较小的政治或社会方面的影响。 可能性－危险 等级 描述 信号 高 （25~100%） 很可能 • 在一年期内可能发生； 或 • 发生的可能性超过 25% • 在以后的十年内有多次发生的潜在 可能性； • 在过去两年曾经发生过； • 由于外部影响对于本业务部门或公 司是典型的。 中 （2~25%） 可能 • 在十年的周期内可能发 生； • 发生的可能性低于 25％ （但是高于 2%）。 • 在以后的十年内可能发生一次以 上； • 由于一些外部影响可能难于控制； • 存在业务部门或公司内发生的历 史。 低 （0~2%） 不太可能 • 在十年的周期内不太可 能发生；或 • 发生的可能性低于 2％。 • 从未发生过； • 如果发生会很令人奇怪。 企业风险管理整合框架 索 引 风险 领域 流程 职责 目标 具体的风险或机会 影响 可能 性 A.3 竞争 对手 市场竞争决策 总经理 保持竞争中的优势地位。 由于竞争对手占取更大的保险市场份 额，导致公司的市场份额萎缩。 3 60% B.1 .1 业务 保单接受和承保 业管部 保证保单上被保险人信息下 准确性 保单中，被保险人信息录入不准确。 1.5 20% C.2 .7 业务 报告 纳税申报 财务部会 计核算部 经理 保证税务工作符合法律法规 的要求。 由于没有及时、准确的填制纳税申报 表使企业遭受来自税收部门的罚金损 失。 0.5 5% B.1 .16 精算 精算计算 精算部 保证精算计算依据的准确性 从业务系统中提取的精算数据不准确 ，或者提取数字被非法修改。 2.5 10% B.1 .3 业务 网络监控和维护 信息部 通过对网络监控，及时发现 网络问题，保证网络正常运 没有发现网络故障或隐患。 3 30% 第16页 COSO风险管理框架要素五：风险应对 • 确定并评估可能的应对风险的方法 • 根据企业风险偏好、潜在风险应对 措施的成本效益来评价各种风险应 对措施，以及各种风险应对措施可 以在多大程度上降低风险影响程度 和/或发生可能性 • 基于对风险和应对措施组合的评 估，选择并实施适当的应对措施 • 风险回应的四个选择：规避、减少、 分担和接受 企业风险管理整合框架 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第17页 COSO风险管理框架要素五：风险回应 企业风险管理整合框架 规避 退出产生风险的各种活动。规避风险的例子可能有退出使用一条生产线、停止 向一个新的地理区域市场扩大业务，或者出售公司的一个分支，剥离亏损业 务，缩小经营规模 减少 采取行动减少风险的可能性或影响或两者。组织资源－主动预防－实时监控－ 进行控制 分担 通过将风险转移或者分担部分风险来减少风险的可能性和影响。保险、分担 （合资、结盟、合作）、 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 （外包/委托）、分散化 、调期 接受 完全接受、设定损失目标和容忍水平、设定并监控关键风险指标、制定恢复计 划、准备补救措施、事先筹措资金 第18页 COSO风险管理框架要素五：风险回应－举例 企业风险管理整合框架 规避风险 — 一个非盈利组织识别并评估了向其成员提供直接医疗服务的风险 后决定不接受相关的风险。因此它决定，取而代之以提供咨询服务。 减少风险 — 一家证券清算公司识别并评估了其系统超过3个小时不能工作的风 险后作出结论：该公司不能接受出现这种事件的影响。因此它斥资改进技术， 采用了增强型故障自检测和备用系统，以减少系统不可用的可能性。 分担风险 — 一所大学识别并评估了与管理其学生宿舍有关的风险后作出结论： 学校不具备有效管理这些大型住宅财产所必需的内部能力。因此该大学将宿舍 管理外包给一家财产管理公司，因为它能够较好地减少与财产关联的风险的影 响和可能性。 接受风险 — 一家政府机构识别和评估了其在各种不同地理区域的基础设施发 生火灾的风险，并评估了通过保险范围分担其风险影响的成本。其结论是：保 险的增量成本及相关的应扣除保险额超出了更换设施的可能成本，因此该机构 决定接受该风险。 第19页 COSO风险管理框架要素六：控制活动 • 确保风险应对措施和其他的企业 目标有效执行的政策和程序 • 发生在整个企业的不同层次和 不同职能部门中 • 包括应用控制和信息系统总体 控制 企业风险管理整合框架 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第20页 企业风险管理整合框架 控制活动包括: 按大类分，控制分为经营业绩的审核、信息处理的控制（应用控 制与信息系统总体控制）、实物控制和职责分离等。具体控制活 动包括： •审批 •授权 •核实查证 •对帐，等等 COSO风险管理框架要素六：控制活动 第21页 COSO风险管理框架要素七：信息和沟通 • 管理层以一定的形式在一定时限 内识别、获取并沟通相关信息， 使相关人员可以履行自己的责任 • 沟通在组织中更广泛的范围内， 同时由上而下、自下而上以及 平行地进行 企业风险管理整合框架 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第22页 COSO风险管理框架要素八：监督 • 通过以下的方法，来监督企业 风险管理的其它组成部分的有 效性： - 持续监督 - 独立评估 - 上述两者的结合 企业风险管理整合框架 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第23页 风险管理的角色和责任 企业风险管理整合框架 • 企业中每一个人都对企业风险管理负有责任。 • 首席执行官最终对企业风险管理负责并应承担最终责任。 • 经理人员支持风险管理理念，促使企业与其风险偏好保持一致，并在 其职责范围内管理风险使其与企业的风险容忍度相一致。 • 普通人员负责根据企业管理层确定的指令和规章实施企业风险管理。 • 董事会对企业风险管理提供重要的监督。 • 外部有关方常常提供在实施企业风险管理中有用的信息，但是，他们 不对企业风险管理的有效性负责。 第24页 风险管理的角色和责任 企业风险管理整合框架 董事会 • 管理层向董事会负责，董事会提供监督、指导和指示。 • 通过选择管理层，董事会在确定其期望的企业诚信和道德价值观方面 发挥着主要作用 • 董事会监督经营管理活动来确认是否符合董事会的期望。 • 通过保留在某些关键决策上的权限，董事会可以在企业制定战略、明 确高层次的目标和广泛的资源配置方面发挥作用。 • 有效率的董事拥有丰富的工作经验，承诺利用必要的时间履行其董事 的责任。他们根据需要，利用资源进行专门的调查，并有与内部审计 师、外部审计师和法律顾问的开放、无任何限制的沟通渠道。 • 董事会可能利用各种委员会来履行其职责。 董事会 CEO 高级管理人员2 风险管理负责人高级管理人员1 基层 基层 基层 基层 基层 内审 第25页 风险管理的角色和责任 企业风险管理整合框架 首席执行官 • 首席执行官对企业风险管理负有最终的所有权责任。 • 执行这一职责的最重要的一个方面是保证企业有一个积极的内部环境。 • 首席执行官的责任包括确认企业风险管理的所有要素全部到位。首席 执行官一般通过以下方式履行其这个职责： • 领导和指导高级管理人员；与他们一起，首席执行官决定构成企 业全面风险管理基础的价值观、原则和主要的经营策略。 • 首席执行官和关键的高级管理人员制定企业的战略目标、战略以 及有关的高层面目标。 • 首席执行管和高级管理层通过装订政策，阐述企业风险管理理念、 风险偏好和文化。 • 定期与负责主要职能领域如销售、营销、生产、采购、财务、人 力资源等部门的高级管理人员会面，审查他们的职责包括他们管 理企业风险的方式。 董事会 CEO 高级管理人员2 风险管理负责人高级管理人员1 基层 基层 基层 基层 基层 内审 第26页 风险管理的角色和责任 企业风险管理整合框架 高级管理层 • 高级管理人员对与自己分管的部门目标有关的风险管理负责。 • 他们把企业战略转变为经营活动、识别事件和评估风险并实施风险应 对方案。 • 管理人员在其责任范围内指导应用企业风险管理的要素，并确保实际 应用与企业的风险容忍度相一致。高级管理人员实际上就是其负责范 围内的“首席执行官”。 • 高级管理人员通常将建立更具体的企业风险管理程序的责任分配给具 体流程、职能或部门的负责人 董事会 CEO 高级管理人员2 风险管理负责人高级管理人员1 基层 基层 基层 基层 基层 内审 第27页 风险管理的角色和责任 企业风险管理整合框架 风险管理的负责人 • 风险管理负责人（风险管理总监（CRO)或风险管理经理）在其负责的领域 内与其他管理人员共同工作确立有效的企业风险管理。 • 确立企业风险管理政策，包括定义作用和职责，并参与制定实施目标； • 为业务单位制定实施企业风险管理的权限和责任； • 促进提高整个企业的全面风险管理能力， • 指导企业风险管理与其他业务规划和管理活动的整合； • 确立一种通用的风险管理语言，包括围绕可能性和影响的通用测量方法以 及通用的风险类别； • 推动管理人员制订报告的内容格式规定，包括定量和定性的界定，并监督 整个报告流程； • 向首席执行官报告工作进展和外部反馈，并根据需要建议采取行动。 董事会 CEO 高级管理人员2 风险管理负责人高级管理人员1 基层 基层 基层 基层 基层 内审 第28页 风险管理的角色和责任 企业风险管理整合框架 内部审计 • 内部审计师在评估（以及建议改进）企业风险管理的有效性方面发挥着关 键作用。 • 内部审计师协助管理层和董事会或审计委员会对企业风险管理的充分性和 有效性进行审查、评价、报告并提出建议予以改进。 • 应发挥合适的作用，但要对其审计的活动保持客观 董事会 CEO 高级管理人员2 风险管理负责人高级管理人员1 基层 基层 基层 基层 基层 内审 第29页 风险管理的角色和责任 企业风险管理整合框架 普通人员 • 企业风险管理是企业中所有人的职责，因此应成为每个人 岗位职责 总经理岗位职责总经理安全岗位职责工厂保安人员的岗位职责工厂财务部岗位职责工程测量员岗位职责 （无论 清晰还是含蓄的）描述中的一部分， • 几乎所有员工都在实施风险管理中发挥作用。 • 所有企业员工都有责任支持企业风险管理中固有的信息流动和沟通交流。 企业风险管理是企业中每个人的事情，因此应明确界定每个人的角色和职责 并进行有效地传达沟通。 董事会 CEO 高级管理人员2 风险管理负责人高级管理人员1 基层 基层 基层 基层 基层 内审 第30页 风险管理的有效性 企业风险管理整合框架 评估八项要素是否都存在并有效地发挥作用是 判断风险管理有效性的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 。 如果8项要素都存在并有效地发挥作用，企业就不会有重大的漏 洞，风险则需要维持在企业风险容忍的范围内。 当确定企业风险管理分别在四类目标的每一类中都有效时，董事 会和管理层就可以合理地保证： 1. 企业战略目标和经营目标正在实现 2. 企业的报告是可靠的 3. 企业正在遵守适用的法律和法规 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、 子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、 子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 第31页 风险管理的局限性 企业风险管理整合框架 风险管理仍然具有局限性 • 决策中个人判断可能会出错； • 应对风险及确立风险控制的决策还需要考虑相对成本和收益； • 由于简单的误差或错误这样的个人失误而可能导致出现风险管 理失效； • 两个或多人的合伙同谋也可以绕过控制； • 管理层也有能力无视企业风险管理的决策。 所以，风险管理无法绝对地保证去实现企业的目标 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、 子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 战略 目标 经营 目标 报告 目标 合规 目标 公 司 层 面 部 门 分 、 子 公 司 业 务 单 位 目标设定 事件识别 风险评估 控制活动 信息和沟通 监督 风险应对 内部环境 © 2006 PricewaterhouseCoopers AG/SA. All rights reserved. PricewaterhouseCoopers AG/SA refers to the Swiss firm of PricewaterhouseCoopers AG/SA and the other member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent legal entity.